一种交互式密钥安全认证方法及系统与流程

本发明涉及信息安全技术领域，特别是涉及一种交互式密钥安全认证方法及系统。

背景技术：

近年来，伴随人工智能、物联网、大数据、信息通信等技术及产业化的快速发展，智能网联汽车核心技术不断取得突破、基础支撑加快得以完善、产业生态日渐走向成熟，一个新的时代呼之欲出，人类的出行方式正面临前所未有的深刻变革。随着产品形态、工业物联网的演进，由于物联网后台网络需要联网设备的信息，物联网产品的生产和交付过程，已经逐步地从传统的产品软硬件的交付增加了产品数据及安全认证密钥的交付。

物联网新的业务形态下，很多终端厂商对于设备的需求出现了新的变化，增加设备等信息的提供，安全接入认证等，依赖人工识别那些需要提供给终端厂商的数据信息，时间长，匹配度差，数据容易出现漏发或错误的情况，导致终端厂商生产时无法激活，造成终端厂商停线等严重影响。

技术实现要素：

本发明为克服上述现有技术所述的不足，提供一种交互式密钥安全认证方法及系统。

为解决上述技术问题，本发明的技术方案如下：

一种交互式密钥安全认证方法，包括如下步骤：

生成终端互认证书：分别生成供应商身份公私钥对和第三方证书公私钥对，鉴权密钥生产管理系统与鉴权认证系统分别对供应商身份公私钥对和第三方证书公私钥对对进行交互式验证签名，生成物联网终端设备的终端互认证书，鉴权认证系统同步存储终端互认证书；

对物联网终端设备进行初始化：采用终端互认证书对物联网终端设备的标识sn信息进行签名形成id签名，将id签名和终端互认证书写入到物联网终端设备；

鉴权认证：物联网终端设备发送自身的id签名、终端互认证书以及标识sn信息到鉴权认证系统，鉴权认证系统根据存储的供应商证书、终端互认证书以及第三方证书验证当前终端互认证书的合法性和id签名的一致性，输出验证结果。

进一步的，作为优选技术方案，终端互认证书的生成具体包括：

线下鉴权密钥生产管理系统与鉴权认证系统分别提供供应商身份根证书和第三方根证书；

线下鉴权密钥生产管理系统与鉴权认证系统的加密模块分别采用指定加密算法分别生成供应商身份公私钥对和第三方证书公私钥对并分别存储；

鉴权密钥生产管理系统将供应商身份根证书存储至鉴权认证系统，同时鉴权认证系统将第三方根证书存储至鉴权密钥生产管理系统；

鉴权密钥生产管理系统生成证书申请请求csr加上特定指纹标识发送至鉴权认证系统；

鉴权认证系统使用供应商身份公钥对csr进行验证签名，同时使用第三方证书公钥对csr及指纹进行核对后加密，生成终端互认证书并存储，同时返回终端互认证书至鉴权密钥生产管理系统。

进一步的，作为优选技术方案，对物联网终端设备进行初始化具体包括：

请求获取物联网终端设备的标识sn信息、id签名和终端互认证书；

鉴权密钥生产管理系统生成终端互认证书，使用终端互认证书对标识sn进行签名形成id签名；

返回id签名、终端私钥、供应商证书和终端互认证书并写入物联网终端设备中存储；

返回结果信息。

进一步的，作为优选技术方案，请求获取物联网终端设备的标识sn信息、id签名和终端互认证书具体包括：

产线pc请求获取物联网终端设备的标识sn信息，然后物联网终端设备返回自身的标识sn信息至产线pc；

产线pc发送sn信息至鉴权密钥生产管理系统，请求获取联网终端设备的id签名和终端互认证书后注入终端。

进一步的，作为优选技术方案，还包括：完成https双向认证，建立鉴权密钥生产管理系统和鉴权认证系统之间的通讯连接；

上传供应商信息、产线pc信息、供应商证书信息、物联网终端设备的标识sn信息以及生产日期至鉴权认证系统。

进一步的，作为优选技术方案，所述指定算法包括对称算法、非对称算法和摘要算法。

进一步的，作为优选技术方案，所述鉴权认证具体包括：

获取物联网终端设备的终端互认证书，生成随机数，使用终端互认证书对物联网终端设备的vin和随机数进行签名得到第一签名信息，并发送物联网终端设备的vin和随机数的认证请求至鉴权认证系统；

鉴权认证系统根据存储的供应商证书验证终端互认证书的合法性，同时使用存储的终端互认证书验证第一签名信息的合法性；

鉴权认证系统从终端互认证书解析出终端互认证书公钥，验证是否为鉴权认证系统签发，id签名验证是否合法，并与存储的终端互认证书与标识sn信息的对应关系进行比对，判断是否一致，若是，则通过验证。

进一步的，作为优选技术方案，id签名的验证具体包括：

鉴权认证系统生成会话密钥和会话有效期，并使用存储的终端互认证书公钥对其进行加密，得到会话加密密钥、会话mac密钥以及会话有效期；

使用第三方证书对会话加密密钥、会话mac密钥以及会话有效期进行签名得到第二签名信息并验证第二签名信息的合法性；同时使用会话加密密钥以及会话mac密钥验证id签名解密后的一致性。

进一步的，作为优选技术方案，所述鉴权认证系统属于第三方的认证平台。

一种交互式密钥安全认证系统，采用交互式密钥安全认证方法实现安全认证；

所述系统包括交互式密钥生成模块、签名模块和验证模块；

所述交互式密钥生成模块用于按照指定的加密算法生成供应商身份公私钥对和第三方证书公私钥对以及证书申请请求csr；

所述签名模块用于对供应商身份公私钥对和第三方证书公私钥对进行交互式验证签名，生成物联网终端设备的终端互认证书；

所述验证模块用于对终端互认证书的合法性和id签名的一致性进行验证。

与现有技术相比，本发明技术方案的有益效果是：

本发明通过构建与第三方交互式生成密钥对，生成互认证书，从而生成交互式安全认证信息；通过本发明的方法解决了物联网终端设备供应商与第三方之间实现匹配时的安全问题，满足物联网终端设备安全接入的认证需求。

附图说明

图1为本发明终端互认证书生成步骤流程图。

图2为本发明物联网终端设备初始化步骤流程图。

图3为本发明鉴权认证步骤流程图。

图4为本发明系统框图。

附图仅用于示例性说明，不能理解为对本专利的限制；为了更好说明本实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对于本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的；相同或相似的标号对应相同或相似的部件；附图中描述位置关系的用语仅用于示例性说明，不能理解为对本专利的限制。

具体实施方式

下面结合附图对本发明的较佳实施例进行详细阐述，以使本发明的优点和特征更易被本领域技术人员理解，从而对本发明的保护范围作出更为清楚的界定。

实施例1

一种交互式密钥安全认证方法，包括如下步骤：

s10.生成终端互认证书：分别生成供应商身份公私钥对和第三方证书公私钥对，鉴权密钥生产管理系统与鉴权认证系统分别对供应商身份公私钥对和第三方证书公私钥对对进行交互式验证签名，生成物联网终端设备的终端互认证书，鉴权认证系统同步存储终端互认证书。

本步骤中生成终端互认证书，如图1所示，具体包括：

线下鉴权密钥生产管理系统与鉴权认证系统分别提供供应商身份根证书和第三方根证书。

线下鉴权密钥生产管理系统与鉴权认证系统的加密模块分别采用指定加密算法分别生成供应商身份公私钥对和第三方证书公私钥对并分别存储。

鉴权密钥生产管理系统将供应商身份根证书存储至鉴权认证系统，同时鉴权认证系统将第三方根证书存储至鉴权密钥生产管理系统；

鉴权密钥生产管理系统生成证书申请请求csr加上特定指纹标识发送至鉴权认证系统；

鉴权认证系统使用供应商身份公钥对csr进行验证签名，同时使用第三方证书公钥对csr及指纹进行核对后加密，生成终端互认证书并存储，同时返回终端互认证书至鉴权密钥生产管理系统。

在本发明中，供应商为物联网终端设备供应商，更具体的为，车机供应商。由于鉴权认证系统属于第三方的认证平台。

指定算法包括对称算法、非对称算法和摘要算法等，具体包括如下：

对称算法包括：des、3des、aes128、aes256、sm1或sm4等；

非对称算法包括：rsa2048、rsa3072、rsa4096、rsa-pkcs1.5或rsa-pss等；

摘要算法包括：sha256或sm3等；

同时，本发明的指定算法还支持国产密码算法和通用密码算法的并行应用，例如：

对称算法，支持国产sm1/sm4/zuc/aes128/aes256/des/3des算法；

非对称算法，支持国产sm2、通用rsa(1024-4096)、rsa-pkcs1.5以及rsa-pss算法；

摘要算法，支持国产sm3和通用md5/sha1/sha224/sha256/sha384/sha512等算法。

s20.对物联网终端设备进行初始化：采用终端互认证书对物联网终端设备的标识sn信息进行签名形成id签名，将id签名和终端互认证书写入到物联网终端设备。

本步骤中对物联网终端设备进行初始化，如图2所示，具体包括：

供应商的产线pc请求获取物联网终端设备的标识sn信息，然后物联网终端设备返回自身的标识sn信息至产线pc；

产线pc发送sn信息至鉴权密钥生产管理系统，请求获取联网终端设备的id签名和终端互认证书后注入终端；

鉴权密钥生产管理系统生成终端互认证书，使用终端互认证书对标识sn进行签名形成id签名。

返回id签名、终端私钥、供应商证书和终端互认证书至产线pc，并将其写入物联网终端设备中存储。

返回结果信息至产线pc，产线pc再次返回结果信息至鉴权密钥生产管理系统。本步骤中，返回的结果信息包括写入成功或存储成功。

当写入成功或存储成功，鉴权密钥生产管理系统则上传物联网终端设备的产线pc信息记录至第三方的鉴权认证系统。

完成https双向认证后，建立鉴权密钥生产管理系统和鉴权认证系统之间的通讯连接；上传供应商信息、产线pc信息、供应商证书信息、物联网终端设备的标识sn信息以及生产日期至鉴权认证系统存储。

鉴权认证系统存储成功后返回存储成功信息至鉴权密钥生产管理系统。

s30.鉴权认证：物联网终端设备发送自身的id签名、终端互认证书以及标识sn信息到鉴权认证系统，鉴权认证系统根据存储的供应商证书、终端互认证书以及第三方证书验证当前终端互认证书的合法性和id签名解密后的一致性，输出验证结果。

本步骤的鉴权认证，如图3所示，具体包括：

物联网终端设备获取自身的终端互认证书，生成随机数，使用终端互认证书对物联网终端设备的vin和随机数进行签名得到第一签名信息，并发送物联网终端设备的vin和随机数的认证请求至鉴权认证系统。

在本步骤中，物联网终端设备的vin与其标识sn信息一一对应。

鉴权认证系统根据存储的供应商证书验证终端互认证书的合法性，同时使用存储的终端互认证书验证第一签名信息的合法性。

id签名的验证：鉴权认证系统从终端互认证书解析出终端互认证书公钥，验证是否为鉴权认证系统签发，id签名验证是否合法，并与存储的终端互认证书与标识sn信息的对应关系进行比对，判断是否一致，若是，则通过验证。

id签名的验证具体包括：

鉴权认证系统生成会话密钥和会话有效期，并使用存储的终端互认证书公钥对其进行加密，得到会话加密密钥、会话mac密钥以及会话有效期；使用第三方证书对会话加密密钥、会话mac密钥以及会话有效期进行签名得到第二签名信息，然后物联网终端设备使用第三方证书验证第二签名信息的合法性。

物联网终端设备使用会话加密密钥以及会话mac密钥对id签名进行加密后，发送验证请求至鉴权认证系统，鉴权认证系统验证id签名的一致性。

返回鉴权结果至物联网终端设备，物联网终端设备验收鉴权结果，鉴权结束。

实施例2

一种交互式密钥安全认证系统，采用实施例1所述的交互式密钥安全认证方法实现安全认证。

所述系统包括交互式密钥生成模块、签名模块和验证模块。

交互式密钥生成模块用于按照指定的加密算法生成供应商身份公私钥对和第三方证书公私钥对以及证书申请请求csr。

交互式密钥生成模块包括供应商的第一加密模块和第三方的第二加密模块。

签名模块用于对供应商身份公私钥对和第三方证书公私钥对进行交互式验证签名，生成物联网终端设备的终端互认证书。

签名模块包括供应商的鉴权密钥生产管理系统和第三方的鉴权认证系统。

验证模块用于对终端互认证书的合法性和id签名的一致性进行验证。

验证模块包括第三方的鉴权认证系统，即鉴权认证系统验证物注入联网终端设备的终端互认证书的合法性和id签名的一致性。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。